Loi européenne sur l'IA : Un premier regard sur la réglementation européenne en matière d'IA

Le Parlement européen a adopté la loi sur l'intelligence artificielle de l'UE (EU AI Act) en mars 2024, marquant les premières lignes directrices juridiques et exigences de conformité concernant l'utilisation des services d'IA.

Les entreprises du monde entier qui utilisent des systèmes d'IA de base risquent d'être touchées, alors comment s'y préparer ?

Ci-dessous, je vous présente le règlement de l'UE sur l'IA et j'explique son champ d'application, son impact, les sanctions en cas de non-respect et la manière dont il affecte les entreprises et les consommateurs. 

Qu'est-ce que la loi européenne sur l'IA ?

La loi sur l'intelligence artificielle de l'Union européenne (EU AI Act) est un règlement officiel qui a été adopté par le Parlement européen en mars 2024. 

Il est entré en vigueur en août 2024.

Proposée par la Commission européenne, elle est l'un des premiers textes législatifs à réglementer et à créer un cadre juridique pour l'utilisation et le développement de l'intelligence artificielle. 

Dates importantes concernant la loi européenne sur l'IA

Passons brièvement en revue quelques dates importantes concernant l'élaboration de la réglementation européenne en matière d'IA et examinons le calendrier potentiel de cette réglementation. 

Avril 2021

La Commission européenne a initialement présenté un paquet global sur l'IA en avril 2021, qui comprenait une proposition de loi sur l'IA.  

Novembre 2022

En novembre 2022, après une année de discussions entre les législateurs européens et près de cinq itérations du texte du règlement, une version finale de compromis de la loi sur l'IA a été approuvée à l'unanimité par le Conseil de l'UE et soumise au Conseil "Télécommunications" (TTE). 

mars 2023

Le Parlement européen devait se prononcer sur la version finale de la loi sur l'IA avant la fin du mois de mars 2023. 

Après le vote, les discussions entre les États membres, le Parlement et la Commission ont commencé en avril.

13 mars 2024

Le Parlement européen a officiellement adopté la version finale de la loi sur l'IA de l'UE avec une majorité écrasante de votes favorables (523-46). 

août 2024

La loi européenne sur l'IA est partiellement entrée en vigueur, lançant le pacte sur l'IA, une initiative de la Commission européenne destinée à encourager les entreprises à s'engager à contribuer à ce que le développement de l'IA soit sûr, fiable et conforme à la loi européenne sur l'IA, qui entrera en vigueur par étapes au cours des trois prochaines années. 

Février 2025

Les interdictions relatives aux risques inacceptables d'IA entrent en vigueur. 

Août 2025

Les exigences concernant les fournisseurs de modèles d'IA à usage général entrent en vigueur et les États membres doivent nommer des autorités.

La Commission procédera également à son premier examen annuel de la loi et proposera, le cas échéant, d'éventuelles modifications. 

août 2026

Les obligations relatives à l'utilisation de l'IA à haut risque entrent en vigueur, principalement celles énoncées à l'annexe III, qui inclut les systèmes d'IA dans les secteurs suivants : 

• Biométrie
• L'éducation
• Infrastructures critiques
• Emploi
• Accès aux services publics
• Application de la loi

Tous les États membres auront mis en œuvre des règles sur les sanctions relatives à la loi, y compris des amendes administratives, et auront mis en place au moins un bac à sable réglementaire opérationnel. 

La Commission procédera à un nouvel examen annuel et proposera des modifications si nécessaire.

août 2027

Toutes les obligations restantes concernant les systèmes d'IA à haut risque entrent en vigueur, y compris celles destinées à être utilisées comme élément de sécurité d'un service ou d'un produit et les exigences en matière d'évaluation par des tiers décrites dans d'autres lois européennes existantes. 

Comment la loi européenne sur l'IA définit-elle les systèmes d'IA ?

La loi européenne sur l'IA définit l'intelligence artificielle et les systèmes d'IA comme suit : 

Un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d'autonomie et qui peut s'adapter après le déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels.

Cette définition inclut les logiciels développés à l'aide d'une ou de plusieurs techniques, telles que :

• Approches d'apprentissage automatique
• Approches logiques et fondées sur la connaissance
• Approches statistiques 

Quel type d'IA l'UE réglemente-t-elle et comment ?

La loi européenne sur l'IA réglemente quatre niveaux différents de "risques" liés à l'IA, et la gravité du niveau de risque a une incidence sur les exigences et les obligations auxquelles les entreprises doivent se conformer. 

En vertu de la loi sur l'IA, toute technologie appartenant à la catégorie des risques inacceptables n'est pas autorisée à être utilisée dans l'UE. C'est à l'entreprise de prouver de quel niveau de risque relève sa technologie. 

IA à haut risque

Selon la loi sur l'IA de l'Union européenne, l 'IA à haut risque est la catégorie la plus réglementée. 

L'une des exigences est que la documentation technique d'un système d'IA à haut risque soit établie avant que ce système ne soit mis sur le marché ou mis en service et qu'elle soit tenue à jour, comme décrit en détail à l'annexe IV.

Il stipule notamment que la documentation doit contenir :

La loi prévoit également les exigences supplémentaires suivantes en matière d'IA à haut risque : 

• Les ensembles de données utilisés pour la formation, la validation et le test des IA doivent faire l'objet d'une gouvernance des données et de pratiques de gestion.
• Les IA conçues et développées avec des capacités permettant l'enregistrement automatique d'événements pendant le fonctionnement du système doivent être conformes à des normes reconnues ou à des spécifications communes.
• Vous devez fournir aux utilisateurs des informations transparentes sur la manière dont le système d'IA est conçu et développé, sur son utilisation prévue, sur ses caractéristiques, ses capacités et ses limites.
• Permettre un contrôle humain grâce à des outils d'interface, soit intégrés au système d'IA, soit pouvant être mis en œuvre par l'utilisateur.

Il existe de nombreuses autres obligations à l'égard des fournisseurs d'IA à haut risque, notamment les suivantes :

• Gestion de la qualité
• Documentation technique
• Évaluations de conformité
• Journaux générés automatiquement
• Actions correctives
• Le devoir d'information
• Coopération avec les autorités

Risque limité IA

La loi européenne sur l'IA prévoit des obligations de transparence pour les IA à risque limité, en particulier lorsqu'il existe un risque de manipulation (par exemple, les chatbots) ou de tromperie (par exemple, les deep fakes). 

Elle stipule que les personnes physiques doivent être informées qu'elles interagissent avec un système d'IA et prévoit des exceptions pour les services de police.

Risque minimal en matière d'IA

Tous les services d'IA qui entrent dans la catégorie de risque minimal sont encouragés à adopter des codes de conduite en vertu de la version actuelle de la loi sur l'IA, comme la garantie de l'équité, de la non-discrimination et de l'utilisation de la supervision humaine.

L'IA à risque minimal comprend tout ce qui n'entre pas dans les autres catégories à risque plus élevé.

Qui est concerné par la loi européenne sur l'IA et comment ?

La loi européenne sur l'IA a un large impact au-delà des États membres de l'UE en raison de son champ d'application extraterritorial, ce qui signifie que les capacités d'application pourraient s'étendre au-delà des frontières territoriales traditionnelles de l'UE. 

Actuellement, il a un impact : 

• Les entreprises qui mettent des systèmes d'IA sur le marché ou en service dans l'UE, même si ces fournisseurs ne sont pas physiquement situés dans l'UE elle-même.
• Tous les utilisateurs de systèmes d'IA s'ils sont situés dans l'UE
• Les fournisseurs et les utilisateurs de systèmes d'intelligence artificielle situés dans un pays hors de l'UE et dont les résultats sont utilisés dans l'UE.

En vertu de ce règlement européen sur l'IA, les utilisateurs européens de l'IA obtiennent des droits et des connaissances sur le fonctionnement de ces systèmes, tandis que les entreprises qui produisent ou utilisent la technologie de l'IA devront respecter diverses obligations et lignes directrices.

Toutefois, la loi ne s'applique pas à l'utilisation privée ou non professionnelle. Elle exempte également les systèmes d'IA exclusivement développés et utilisés à des fins militaires.

Comment la loi européenne sur l'IA sera-t-elle appliquée ?

L'application de la loi européenne sur l'IA est laissée aux autorités de surveillance nationales, mais un conseil autonome de l'IA supervisera la loi elle-même.

La commission de l'IA proposée veillera spécifiquement à l'application et à la mise en œuvre cohérentes de la loi dans les 27 États membres.  

Pénalités et amendes potentielles en vertu de la loi européenne sur l'IA

La loi sur l'IA prévoit un cadre d'application similaire à celui du GDPRla principale législation de l'UE en matière de protection des données, mais avec des frais plus élevés. 

Les sanctions comprennent des amendes administratives pouvant aller jusqu'à 30 000 000 € ou, si le contrevenant est une entreprise mondiale, jusqu'à 6 % de son chiffre d'affaires annuel mondial total :

• Non-respect de l'interdiction de l'intelligence artificielle présentant des risques inacceptables visée à l'article 5
• Non-conformité du système d'IA aux exigences en matière de données et de gouvernance des données relatives aux IA à haut risque visées à l'article 10

Pour les autres infractions, il faut s'attendre à des amendes administratives pouvant aller jusqu'à 20 000 000 euros ou, si le contrevenant est une entreprise mondiale, jusqu'à 4 % de son chiffre d'affaires annuel mondial total.

En outre, la fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités est passible d'une amende pouvant aller jusqu'à 10 000 000 euros ou, pour les entreprises internationales, jusqu'à 2 % de leur chiffre d'affaires annuel total.

IA et protection des données : Le lien, les avantages et les inconvénients

Les systèmes d'IA sont intrinsèquement liés aux lois sur la protection de la vie privée, car certains logiciels peuvent identifier une personne qui n'aurait pas dû l'être sur la base de l'ensemble des données fournies. 

L'apprentissage automatique, en général, repose sur des quantités gigantesques de fichiers texte, et certains de ces ensembles de données contiennent des détails qui sont légalement considérés comme des informations personnelles selon les réglementations en matière de protection de la vie privée telles que la loi sur la protection des données :

• Règlement général sur la protection des données (GDPR)
• Loi californienne sur la protection de la vie privée des consommateurs(CCPA)
• Loi de Virginie sur la protection des données des consommateurs(CDPA)

Il ne fait aucun doute que l'IA modifiera la manière dont les entreprises se conforment aux réglementations en matière de confidentialité des données et vice-versa. Nous serons donc là pour vous tenir au courant des lois potentielles telles que la loi européenne sur l'IA et pour vous aider à faire en sorte que la transition se passe le mieux possible pour les entreprises de toute taille.

Les avantages et les inconvénients de l'IA pour la protection des données

La technologie de l'IA présente de nombreux avantages potentiels. Elle permet de rationaliser les activités banales, d'améliorer l'expérience de l'utilisateur et de limiter la dépendance d'une entreprise à l'égard des données personnelles sensibles.

Mais il peut aussi être utilisé à des fins opposées. 

Les cyberattaquants et les failles de sécurité s'appuient souvent sur des outils pilotés par l'IA qui adaptent leurs logiciels malveillants pour échapper à la détection. Il est également difficile d'analyser avec précision si les résultats du traitement des informations personnelles par les systèmes d'IA contiennent ou non des biais. 

Partout dans le monde, on débat encore des avantages et des inconvénients de la technologie de l'IA. Mais une législation telle que le règlement européen sur l'IA espère protéger les droits des individus tout en permettant le développement et la mise en œuvre de nouveaux logiciels d'intelligence artificielle révolutionnaires.

Comment les entreprises peuvent-elles se préparer à la réglementation de l'IA ?

Pour se préparer à la loi européenne sur l'IA, je recommande aux entreprises de mettre en place une procédure d'évaluation de la gestion des risques liés à l'IA en suivant les étapes suivantes.

Première étape : dresser l'inventaire de tous les systèmes d'IA utilisés par votre entreprise

Votre entreprise doit savoir quels systèmes d'IA elle utilise, comment, pourquoi et où l'IA est déployée. 

Créez donc un processus d'identification et d'inventaire de vos systèmes d'IA. Faites preuve de transparence et de rigueur au cours de cette étape, afin de ne rien oublier par inadvertance.  

Deuxième étape : créer un système de classification des risques liés à l'IA 

Une fois que vous avez dressé l'inventaire de tous les systèmes d'IA utilisés par votre entreprise, classez-les dans des catégories de risque, conformément au système de classification défini par la loi européenne sur l'IA. 

Essayez de déterminer les niveaux de risque des systèmes d'IA que vous utilisez et déterminez si vous avez des systèmes à risque élevé ou inacceptable en place.  

Troisième étape : Mettre en œuvre des procédures d'atténuation des risques liés à l'IA et des audits indépendants

Élaborez un système de procédures d'atténuation des risques et une méthode d'audit afin que votre entreprise puisse identifier et réglementer les systèmes d'IA présentant des risques élevés et inacceptables. 

Par exemple, commencez à budgétiser les outils appropriés d'atténuation des risques dont votre entreprise pourrait avoir besoin si la loi européenne sur l'IA est adoptée. 

Quatrième étape : Adopter une structure interne de gouvernance de l'IA

Les entreprises peuvent se préparer à la loi européenne sur l'IA en mettant en place un système d'organisation interne parallèle à la structure de gouvernance de l'IA proposée. En d'autres termes, utilisez certaines parties de la loi pour façonner et inspirer la manière dont vous élaborez les lignes directrices internes de gestion des risques que vous mettez en œuvre.

Nous recommandons de créer un comité interne responsable de la gestion des risques liés à l'IA, composé de professionnels de la cybersécurité, du droit et de la confidentialité des données. 

Cela aidera les entreprises à franchir les étapes précédentes, en particulier l'étape 3, en veillant à ce que l'entreprise soit correctement informée et préparée aux implications juridiques potentielles. 

Pourquoi l'Europe réglemente-t-elle l'IA ?

L'Europe réglemente l'utilisation des systèmes d'IA afin de protéger les droits fondamentaux, la santé et la sécurité des citoyens de l'UE et de se positionner en tant que leader mondial dans le développement de services et de logiciels d'IA.

L'objectif est de permettre la poursuite rapide du développement de logiciels d'IA tout en préservant les droits de l'homme, afin que l'IA ait un effet positif sur la vie des gens, et non un effet négatif.

L'effet Bruxelles et la loi européenne sur l'IA 

De nombreux législateurs évoquent l'effet Bruxelles lorsqu'ils parlent de l'impact du règlement de l'UE sur l'IA, car il pourrait influencer la manière dont le reste du monde réglemente l'IA de manière unilatérale.

Le phénomène connu sous le nom d'effet Bruxelles comporte deux volets.

1. De facto : Les entreprises commencent à suivre universellement les exigences de l'UE pour normaliser leurs produits ou services ;
2. De Jure : D'autres pays adoptent une législation formelle qui s'aligne sur le règlement de l'UE afin d'éviter les conflits avec le processus récemment normalisé.

La législation européenne sur la protection des données, le règlement général sur la protection des données (GDPR), est souvent citée comme l'exemple type de l'effet Bruxelles, car elle a une incidence considérable sur les obligations des entreprises et la législation en matière de protection de la vie privée dans le monde entier.

Bien qu'il ne soit pas certain que la loi européenne sur l'IA ait la même portée, de nombreux législateurs suggèrent que c'est une forte possibilité, de sorte que cette loi mérite d'être suivie, quel que soit l'endroit où vous avez votre siège.

Comment les différents pays européens réagissent à l'IA

Avec l'émergence des services d'IA commercialisés auprès du grand public, les régulateurs européens ont porté leur attention sur l'IA.

L'ICO britannique

En novembre 2022, l'Information Commissioner's Office(ICO) du Royaume-Uni a publié un cadre pour l'audit des systèmes d'IA, axé sur les meilleures pratiques en matière de protection des données et de conformité.  

Les audits sont volontaires et réalisés par le département d'assurance de l'ICO. Le cadre peut être appliqué, que l'organisation conçoive son propre système d'IA ou qu'elle utilise l'IA en tant que service. 

Cette décision fait suite à un incident survenu en 2022, lorsque les autorités britanniques ont infligé à Clearview AI une amende de 7,5 millions de livres sterling et lui ont adressé un avis d'exécution pour avoir collecté illégalement plus de 20 milliards d'images de visages de personnes. 

Datatilsynet en Norvège

En décembre 2022, Datatilsynet, l'autorité norvégienne de protection des données pour la région, a présenté un rapport sur la transparence de l'IA afin de conseiller les organisations sur la manière d'informer les utilisateurs de l'utilisation de l'IA.

Datatilsynet note que la loi sur les données personnelles exige la transparence sur l'utilisation de l'IA, ce qui signifie que les organisations doivent décider non seulement des informations sur l'utilisation de l'IA qu'elles doivent partager, mais aussi du moment et de la manière d'informer les utilisateurs.

Pays-Bas AP

En décembre 2022, l'autorité néerlandaise de protection des données, Autoriteit Persoonsgegevens(AP), a commencé à contrôler et à superviser les algorithmes d'IA :

• Transparence
• Discrimination
• L'équité 

L'AP a obtenu un financement supplémentaire d'un million d'euros pour aider à la supervision de l'algorithme. 

La phase initiale sera consacrée à l'identification des algorithmes à haut risque, à la mise en commun des connaissances et à la poursuite de la collaboration.

La CNIL française

L'autorité française de protection des données, la Commission nationale informatique et libertés(CNIL), a annoncé en 2023 la création d'un service d'évaluation des risques pour la vie privée posés par l'IA. 

Il vise à faciliter la compréhension du fonctionnement des systèmes d'IA au sein de la CNIL pour les professionnels et les particuliers et à consolider l'expertise de la CNIL dans la connaissance et la prévention des risques d'atteinte à la vie privée liés à la mise en œuvre de ces systèmes.

Qu'en est-il de ChatGPT ?

OpenAI, propriétaire de ChatGPT, a publié un guide d'introduction à la loi européenne sur l'IA et a annoncé en septembre 2024 qu'elle avait souscrit aux engagements fondamentaux du pacte européen sur l'IA.

Il semble que l'OpenAI considère ChatGPT comme un système d'IA à usage général présentant un risque minimal au sens de la loi, mais qu'est-ce que ChatGPT a à dire à ce sujet ?

En mars 2023, elle aurait déclaré à POLITICO qu'elle et d'autres grands modèles linguistiques devraient être réglementés par l'UE comme étant "à haut risque" en raison de leur "potentiel de création de contenu nuisible et trompeur" - une citation directe de l'IA controversée elle-même !

Résumé

La loi européenne sur l'IA prouve que la technologie de l'IA est là pour durer et que les entreprises doivent se préparer à la conformité juridique. 

Toute entreprise utilisant des services d'IA devrait créer un comité professionnel et réaliser des audits indépendants afin de déterminer la catégorie de risque dans laquelle la technologie d'IA pourrait s'inscrire.

Les entreprises peuvent utiliser le site Termly's Générateur de politique de confidentialité pour ajouter une clause d'utilisation de l'IA qui divulgue de manière adéquate les systèmes d'IA qu'elles utilisent et la manière dont ils traitent les données à caractère personnel des consommateurs. 

En savoir plus sur l'auteur

Écrit par Etienne Cussol CIPP/E, CIPM

Etienne est un professionnel de la protection de l'information et un analyste de la conformité pour Termly. Il travaille avec nous depuis 2021, gérant notre propre conformité aux lois sur la protection des données et participant à nos recherches marketing. Ses domaines d'expertise - et d'intérêt - comprennent la protection des donnéesGDPR, ePrivacy Directive, CCPA), les technologies de suivi (cookies tiers, fingerprinting), et les nouvelles formes de gestion de la vie privée (GPC et Google Privacy Sandbox). Etienne a étudié les affaires économiques internationales à l'Université de Toulouse, et a obtenu un Master en 2017. En savoir plus sur l'auteur